Использование пары открытых ключей в оконечном устройстве для аутентификации и авторизации пользователя телекоммуникационной сети по отношению к сетевому провайдеру и деловым партнерам

Изобретение относится к устройствам и способам для проверки полномочий (аутентификации и/или авторизации) пользователя по отношению к узлу доступа телекоммуникационной сети или по отношению к достижимому посредством этой сети другому поставщику услуг.

В ЕР-А2-0903887 описано генерируемое узлом аутентификации мобильной сети засекреченное сообщение (секретный ключ), оно передается мобильной станции, которая применяет это засекреченное сообщение для аутентификации мобильной станции по отношению к базовой станции мобильной сети, причем базовая станция может проводить аутентификацию с помощью узла аутентификации. В частности, предлагается, чтобы провайдер услуг, который имеет пару RSA (алгоритм шифрования по схеме открытого ключа)(ключей) - (F,G) посылает мобильной станции, которая имеет собственную пару ключей (D,E), результат F(E) шифрования открытого ключа Е мобильной станции секретным ключом F провайдера услуг, в ответ на что мобильная станция может передавать в мобильную сеть E и F(E), а провайдер услуг посредством своего секретного ключа G из F(E) снова может получить Е. На это провайдер услуг посылает к мобильному оконечному устройству радиосвязи зашифрованное случайное число Е(Х), зашифрованное открытым ключом Е мобильного оконечного устройства радиосвязи, которое посредством своего секретного ключа D восстанавливает случайное число Х из Е(Х) и может послать его в незашифрованном виде к провайдеру услуг для аутентификации.

В документе XP10314761, ISBN 0-7803-4872-9, автора Stefan Pütz описан способ аутентификации для сети мобильной радиосвязи третьего поколения, при котором аутентификация осуществляется в соответствии со способом запроса-ответа.

Согласно стандарту GSM мобильная станция стандарта GSM (мобильный телефон) применяет SIM-карту (модуль идентификации абонента) абонента, которая содержит идентифицирующие SIM-карту секретные данные, которые также известны сетевому провайдеру (совместно используемые секретные данные), а также используемый мобильной станцией запрашиваемый от пользователя персональный идентификационный номер (PIN-код). С помощью соответствующего протокола (например, протокола запроса-ответа для GSM-аутентификации) сетевой провайдер может идентифицировать SIM-карту пользователя и пользователю, например, разрешить или отказать в использовании сети мобильной радиосвязи. Однако этот способ пригоден для аутентификации в соотношениях, основанных на принципе n:1 (аутентификации, например, n потенциальных пользователей сети мобильной радиосвязи по отношению к сетевому провайдеру), однако непригоден для аутентификации пользователя по отношению к нескольким потенциальным (заранее не известным) деловым партнерам (соотношение по принципу n:m).

Поэтому задачей настоящего изобретения является обеспечить возможность простой и эффективной аутентификации и авторизации пользователей телекоммуникационной сети для определенных услуг или сделок, осуществляемых через телекоммуникационную сеть, по отношению к устройству доступа телекоммуникационной сети, причем пользователь телекоммуникационной сети желал бы использовать телекоммуникационное оконечное устройство с модулем идентификации пользователя телекоммуникационной сети. Указанная задача решается признаками независимых пунктов формулы изобретения.

Изобретение обеспечивает простую и эффективную аутентификацию пользователя телекоммуникационной сети по отношению к телекоммуникационной сети, через которую он осуществляет информационный обмен, а также простую и эффективную аутентификацию и/или авторизацию по отношению к третьим сторонам для заданных услуг, таких как выполнение сделок (доверительная электронная почта, банковские операции, платежи и т.д.).

Соответствующий изобретению способ функционирует и при соотношениях по принципу n:m как аутентификация потенциальных пользователей телекоммуникационной сети посредством модуля идентификации пользователя телекоммуникационной сети в телекоммуникационном оконечном устройстве по отношению к нескольким (m) провайдерам соединений для одноранговых сделок между конечными пользователями, в специальных сетях и т.д., обеспечивает возможность дополнительного применения (для законных обязательств по заказам, перечислениям и т.п.) при применении пар открытых ключей, допускает многократное использование имеющихся компонентов (модуль идентификации пользователей телекоммуникационной сети) без повышения затрат на аппаратные средства со стороны оконечного устройства и создает очень высокую степень надежности.

Способ, в особенности, пригоден для того, чтобы аутентифицировать мобильные оконечные устройства по отношению к сети протокола Интернет для использования этой сети также для услуг, которые предлагаются третьими сторонами через сеть протокола Интернет.

Другие признаки и преимущества изобретения вытекают из зависимых пунктов и последующего описания примера выполнения со ссылками на чертежи, где на чертеже схематично представлена соответствующая изобретению проверка полномочий.

Чертеж иллюстрирует телекоммуникационное оконечное устройство 1 (мобильный узел MN, например, устройство сотовой мобильной радиосвязи стандартов GSM, UMTS и т.д.) со связанным с ним (например, вставляемым в него) модулем 2 идентификации пользователя телекоммуникационной сети (например, SIM, W-SIM, UICC для U-SIM и т.п.), посещаемую телекоммуникационную сеть 3 (например, сеть протокола Интернет мобильной телекоммуникационной сети и т.д.) с устройством 4 доступа (АР-узел доступа) к телекоммуникационной сети 3, с устройством 5 сетевого управления (NMT), с устройством 6 управления доступом (PDP-узел принятия решений сетевой политики). Из телекоммуникационной сети 3, которую хотел бы использовать пользователь телекоммуникационного оконечного устройства 1, можно осуществить контакт с устройством 7 сертификации, которое предлагает общедоступный указатель генерируемых им сертификатов, а также соответствующие этим сертификатам данные статуса (в той же самой телекоммуникационной сети 3 или в другой телекоммуникационной сети 8, или у другого провайдера, или в доверительном центре, к которым можно получить доступ из элементов телекоммуникационной сети 3), для проверки сохраненных в телекоммуникационном оконечном устройстве 1 идентификационных данных (MSISDN и т.п.), сертификатов и для запроса соответствующих данных статуса пользователя 1 телекоммуникационной сети относительно реализации услуг. Эти услуги включают в себя, например, транспортные услуги, в частности, использование собственно телекоммуникационной сети 3, и/или услуг прикладного характера, как, например, услуги, связанные с местом нахождения, и/или сделки, например, заказы, платежи и т.д., осуществляемые по отношению к поставщику 9 через телекоммуникационную сеть 3.

Пользователь телекоммуникационного оконечного устройства 1 хотел бы доказать провайдеру сети 3 и/или поставщику 9 свою правомочность на использование услуг провайдера сети 3 или поставщика 9 (внутри телекоммуникационной сети 3 или вне телекоммуникационной сети 3, например, независимому от телекоммуникационной сети третьему поставщику, который предоставляет свои услуги только через телекоммуникационную сеть 3), то есть осуществить аутентификацию и/или авторизацию. Аутентификация и/или авторизация осуществляется по отношению к телекоммуникационной сети 3 или поставщику 9 услуги (например, от узла NMT 5), как только будут проверены идентификационные данные (MSISDN и т.п.) и полномочия пользователя 1 телекоммуникационной сети (или модуля 2 идентификации пользователя телекоммуникационной сети).

Проверка идентификационных данных и полномочий пользователя 1 телекоммуникационной сети осуществляется в данном случае путем проверки одного или нескольких сертификатов, сохраненных в этом модуле 2 идентификации пользователя телекоммуникационной сети, а также с применением сохраненного в модуле 2 идентификации пользователя телекоммуникационной сети секретного ключа асимметричной пары ключей (основанных на PKI). Проверка осуществляется, например, при попытке регистрации оконечного устройства 1 пользователя телекоммуникационной сети в телекоммуникационной сети 3 в рамках способа проверки авторизации между устройством NMT, устройством АР 4 проверки доступа и оконечным устройством 1 пользователя телекоммуникационной сети посредством проверки сертификата/сертификатов и запроса соответствующих данных статуса в устройстве 7 сертификации. Узел NMT проверяет подлинность сертификата посредством OCSP- или CRL-запроса в устройстве 7 сертификации (СА).

Модуль 2 идентификации пользователя телекоммуникационной сети пересылает, когда ему желательно осуществить авторизацию по отношению к узлу 4 доступа, после ввода его PIN-кода или иных данных, специфических для пользователя телекоммуникационной сети (отпечатков пальцев и т.п.), в узел 4 доступа (например, по запросу узла 4 доступа с пересылкой номера запроса) идентификационные данные (касающиеся идентификации модуля идентификации пользователя телекоммуникационной сети или оконечного устройства и/или пользователя), один или несколько сертификатов (генерируемых из идентификационных данных или соответствующих данных удостоверения полномочий, открытого ключа асимметричной пары ключей способом генерации сертификата, известным только устройству 7 сертификации), а также данные защиты против злоумышленного повторения перехваченного третьей стороной запроса, подписанные секретным ключом из модуля идентификации пользователя телекоммуникационной сети (защита от повторения, слово, образованное только для данного случая, однократного применения). Узел доступа (АР, 4) передает на этапе 11 после проверки корректности посылки (например, запрос достаточно «свежий», данные защиты от повторения корректны и подписаны секретным ключом, сохраненным в модуле идентификации пользователя телекоммуникационной сети) сертификат/сертификаты в устройство 5 сетевого управления (NMT), соответствующее части сети 3 или всей сети 3.

Устройство 5 сетевого управления пересылает на этапе 12 сертификат/сертификаты в устройство 7 сертификации (полномочный орган сертификации - СА), которое, например, посредством OCSP-ответчика и с применением списка отмененных сертификатов (CRL) проверяет действительность сертификата/сертификатов и корректность указанных идентификационных данных и, при необходимости, полномочий и выдает сведения о статусе (например, действителен/недействителен и т.д.) сертификата/ сертификатов, а также, при необходимости, полномочий. Сертификат подтверждает идентификационные данные, если устройство сертификации посредством известного ему способа может генерировать из сертификата идентификационные данные.

В случае, если из сертификата/сертификатов устройством 7 сертификации может быть получен открытый ключ и идентификационные данные/полномочия пользователя 1, 2 телекоммуникационной сети и/или мобильного оконечного устройства радиосвязи, и данные о статусе (сертификат не просрочен, не отменен, полномочия и т.д.), статус сертификата пересылается от устройства 7 сертификации к устройству 5 сетевого управления в сети 3 (этап 13). Устройство 5 сетевого управления на основе сообщенных данных о статусе и полномочиях принимает решение об объеме полномочий узла MN 1 на пользование услугами и ресурсами телекоммуникационной сети 3 и на этапе 14 сообщает об этом устройству 6 управления доступом (PDP). В соответствии с этим решением узел 6 управления доступом путем передачи соответствующего решения для пользователя 1 телекоммуникационной сети к узлу 4 доступа принимает решение обеспечить свободное использование телекоммуникационной сети 3 или блокировать такое использование при полностью отрицательном решении узла 5 сетевого управления.

Устройство 5 сетевого управления может централизованно для сети 3 сообщать на запросы третьей стороны 9, рассматривается ли мобильное устройство 1 радиосвязи как имеющее полномочия устройством 7 сертификации, и если да, то для каких услуг оно имеет такие полномочия. Кроме того, при положительном статусе сертификата (сертификат действителен и т.д.) выработанные узлом 5 сетевого управления секретные данные (например, ключ сеанса) посылаются в устройство 4 доступа посредством способа шифрования, применяемого в сети 3, и там дешифрируются. Кроме того, те же секретные данные устройством 5 сетевого управления зашифровываются открытым ключом модуля 2 идентификации пользователя телекоммуникационной сети (этот открытый ключ устройство сетевого управления может получить в начале регистрации от оконечного устройства через устройство 4 доступа на этапе 10). Кроме того, узел 5 сетевого управления может передать свой собственный сертификат через узел 4 доступа в мобильный узел 1. После этого устройство 4 доступа с помощью известного ему (предусмотренного в телекоммуникационной сети) ключа дешифрирует секретные данные и затем на этапе 16 передает секретные данные, все еще зашифрованные открытым ключом модуля 2 идентификации пользователя телекоммуникационной сети, модулю 2 идентификации пользователя телекоммуникационной сети. В модуле 2 идентификации пользователя телекоммуникационной сети хранится относящийся к упомянутому открытому ключу секретный ключ, применяемый для дешифрирования секретных данных. Затем эти секретные данные могут применяться, например, для доверительного информационного обмена между оконечным устройством 1 и устройством 4 доступа.

Устройство 4 доступа заносит пользователя в список пользователей телекоммуникационной сети с доступом к телекоммуникационной сети (3) и/или услуге (9) и обеспечивает доступ к телекоммуникационной сети и/или услуге (9) только пользователям, внесенным в упомянутый список.

Кроме того, телекоммуникационное оконечное устройство 1 с модулем 2 идентификации пользователя телекоммуникационной сети может у третьей стороны (9), например, пользоваться другими услугами и ресурсами (соответственно тому, как это допускается сертификатом/сертификатами), заказывать товары, осуществлять электронные платежи и т.д., причем третья сторона (9) получает подтверждение степени полномочий либо в устройстве 5 сетевого управления (NMT) телекоммуникационной сети 3, либо запрашивает об этом у устройства 7 сертификации (СА) (см. выше).

1. Способ проверки полномочия пользователя телекоммуникационного оконечного устройства (1) для использования услуги (9) и/или использования телекоммуникационной сети, отличающийся тем, что устройство (4) доступа телекоммуникационной сети (3) получает от телекоммуникационного оконечного устройства (1), по меньшей мере, один сертификат и идентификационные данные (10), устройство (4) доступа посылает полученный от телекоммуникаационного оконечного устройства (1) сертификат и идентификационные данные в устройство (5) сетевого управления, которое разрешает осуществление проверки устройством (7) сертификации, устройство (5) сетевого управления или устройство (7) сертификации осуществляет проверку того, подтверждает ли сертификат идентификационные данные и имеет ли он положительный статус, при положительном результате проверки устройство (5) сетевого управления сообщает результат проверки устройству (6) управления доступом для передачи им соответствующего решения в устройство (4) доступа, при этом устройство (5) сетевого управления пересылает в устройство (4) доступа секретные данные (ключ сеанса 15), которые также пересылаются (15, 16) телекоммуникационному оконечному устройству (1, 2) зашифрованные, по меньшей мере, открытым ключом.

2. Способ по п.1, отличающийся тем, что после пересылки секретных данных устройство (4) доступа заносит пользователя в список пользователей телекоммуникационной сети, имеющих доступ к телекоммуникационной сети (3) и/или услуге (9), при этом устройство (4) доступа обеспечивает доступ к телекоммуникационной сети (3) и/или услуге (9) только пользователям, внесенным в упомянутый список.

3. Способ по п.1 или 2, отличающийся тем, что устройство (4) дополнительно получает от телекоммуникационного оконечного устройства (1) данные защиты от повторения и посылает их в устройство (5) сетевого управления для использования при разрешении осуществления проверки устройством (7) сертификации.

4. Способ по п.1, отличающийся тем, что устройство (7) сертификации размещено в сети иной, чем та, в которой размещено устройство (4) доступа.

5. Способ по п.1, отличающийся тем, что устройство (7) сертификации размещено в той же телекоммуникационной сети, что и устройство (4) доступа.

6. Способ по п.1, отличающийся тем, что секретный ключ пары ключей сохранен только в модуле (2) идентификации пользователя телекоммуникационной сети телекоммуникационного оконечного устройства (1).

7. Способ по п.1, отличающийся тем, что телекоммуникационная сеть является сетью протокола Интернет.

8. Способ по п.1, отличающийся тем, что телекоммуникационная сеть является сетью сотовой мобильной радиосвязи.

9. Способ по п.1, отличающийся тем, что для одного модуля идентификации пользователя телекоммуникационной сети могут применяться несколько сертификатов, в частности, сертификатов атрибутов, положительная проверка которых допускает телекоммуникационное оконечное устройство, по меньшей мере, к одному виду сделок или иных услуг или полномочий.

10. Способ по п.1, отличающийся тем, что при положительной проверке (7) телекоммуникационному оконечному устройству обеспечивается возможность использования сделок или услуг, предоставляемых третьими сторонами (9) в телекоммуникационной сети (3).

11. Способ по п.1, отличающийся тем, что модуль (2) идентификации пользователя телекоммуникационной сети имеет сохраненный в нем секретный ключ, соответствующий открытому ключу, применяемый для дешифрирования зашифрованных открытым ключом секретных данных.